[Fedora-users-br] Apache + SSL

[Hugo Cisneiros]

On Tuesday 15 August 2006 09:58, Leonardo Korndorfer wrote:
> Buenas!

Hau!

> Bom, embora podendo criar uma nova thread achei melhor manter informacoes
> relacionadas na mesma.

O assunto não mudou muito, então manter a thread é viável :-)

> Recorri a lista pois eu estou desenvolvendo um pequeno sistema de
> atualizacao automatica de firmaware para os produtos de minha empresa. O
> servico é totalmente transparente ao usuario (pelo menos deve ser :-). O
> fato é que como nos devemos ter compilacao em tempo de atualizacao - as
> imagens (pois na verdade atualizamos o sistema operacional do produto)
> devem ser geradas a partir de chaves de encriptacao e senhas singulares
> pertencentes a cada um dos equipamentos, senhas e decriptadores (etc) esses
> que estao em um DB no servidor da empresa. Por este motivo, existe o
> problema de que os fontes pra compilacao sao acessiveis pelos usuarios
> (atraves dos equipamentos, mesmo nao sendo tao simples), o que me parece
> inadmissivel.
>
> Estou usando o apache 2.2.3 + ssl.

Habilitar o SSL vai criptografar todo o tráfego entre o cliente e o servidor, 
mantendo assim a segurança por este ponto. Ou seja, essencial para o que você 
quer :P

> Ja que todas as acoes sao todas feitas por scripts CGI (em shell script) no
> equipamento acessando mais alguns varios scripts de configuracao e
> compilacao no servidor estava pensando se existe algo do tipo https com
> autenticacao por usuario e senha, algo onde eu pudesse usar um post-data ou
> algo assim, passar este usuario e senha de tal forma que 1. estara dentro
> do produto, protegido (pois o cliente soh tem acesso a uma interface web de
> configuracao); 2. o servidor https aceite apenas conexoes autenticadas com
> usuario e senha;

A autenticação por HTTPS é a mesma que por HTTP. Só que com HTTPS tudo é 
encriptografado. Ou seja, você pode utilizar o esquema de HTTP Auth do Apache 
tranquilamente, como o Felipe indicou com a minha página:

http://www.devin.com.br/eitch/htaccess/

Você também pode usar o próprio sistema CGI para autenticar, manter sessões e 
etc, o que inclusive é muito melhor (porém mais complicado). Lembre-se também 
de que estas ações vão apenas diminuir um possível risco. Como são CGIs que 
lidam com os arquivos restritos que você disponibiliza, lembre-se que estes 
CGIs devem ter segurança focada e devem restringir e cuidar para não ter 
nenhuma falha. Senão os próprios usuários podem fazer coisas :-)

O esquema de sessões e SSL é implementada nos bancos, então dá pra ter uma 
idéia da segurança "ideal" que o pessoal necessita.

> Claro que se houver algo alem de https nao tem problema algum. Andei lendo
> algo sobre SSLFakeAuth e autenticacao de usuario por chaves de certificados
> do cliente, mas ficou tudo muito vago...

Aí já começa a complicar, imagine ter um certificado para cada cliente, 
doidera :-) Isso não é preciso.

> Se alguem tiver alguma ideia será muito bem vinda.
>
> []'s

-- 
[]'s
Eitch

http://www.devin.com.br/eitch/
"Talk is cheap. Show me the code." - Linus Torvalds